より静かに、そしてより長く活動したい者たちに向けた新たな“商品”が地下フォーラムに登場した。AlphaGhoulという別名を名乗る人物が、NtKillerと呼ばれるユーティリティの宣伝を開始しており、作者によれば、アンチウイルスソフトやエンドポイント検知ツールを密かに無効化し、侵害されたマシン上で悪意あるペイロードを検知を回避しながら実行できるという。
宣伝資料では、NtKillerがMicrosoft Defender、ESET、Kaspersky、Bitdefender、Trend Microなど、広く利用されているソリューションに対して有効に動作すると主張している。さらに、攻撃的なモードでは企業向けEDRプラットフォームも回避できるともされており、従来型の防御スタックに依存する組織にとって特に憂慮すべき主張だ。
KrakenLabsの研究者は、NtKillerが早期ブート機構を介して永続化できるとされる点に注意を促している。考え方は単純で、Windowsの起動時に、監視コンポーネントの多くが完全に初期化されてシステム活動を観測できるようになる前に、このツールが自身を組み込むというものだ。この短い時間的ウィンドウにより、攻撃者は検知リスクを最小限に抑えつつペイロードを展開できる、よりクリーンな実行環境を得られる一方、その後の除去は大幅に困難になる。
研究者によれば、このユーティリティはモジュール式の価格モデルで販売されている。中核機能は500ドルで、ルートキット機能やUACバイパスといった追加要素はそれぞれ300ドルの追加料金で提供される。価格設定とパッケージングは、犯罪市場での安定した販売を狙った商用オファリングとして、このツールを意図的に“製品化”しようとしていることを示唆している。
NtKillerのマーケティング資料は、単にセキュリティプロセスを終了させるだけにとどまらない能力をうたっている。宣伝されている手法には、HVCIの無効化、VBSの操作、メモリ整合性保護の回避を伴う回避技術が含まれるという。また、アンチデバッグおよびアンチ解析の対策も組み込まれているとされ、手動調査と自動的な精査の双方を難しくし、マーケティング上の主張と検証可能な挙動との乖離を広げている。
広告で特に危険な機能としてうたわれているのが、「サイレント」なUACバイパスで、ユーザーに警告を与え得るおなじみのWindowsプロンプトを表示させることなく、昇格した権限を付与するとされる。これがルートキット機能と組み合わされれば、標準的な監視ソリューションからの可視性を最小限に抑えたまま、攻撃者が長期的なアクセスを維持できる可能性がある。
同時に、これらの主張は第三者の研究者によってまだ独立に検証されておらず、NtKillerの実環境での有効性は不確かなままである点を強調しておく必要がある。こうした状況を踏まえ、組織には警戒を維持し、シグネチャベースの防御だけに依存するのではなく、セキュリティ制御を抑圧しシステム内に秘匿的な永続化を確立しようとする試みに対応できる行動検知メカニズムにも依拠することが推奨される。
